Заказчики: МС Банк Рус (Банк Капитал Москва) MC Bank Rus Москва; Финансовые услуги, инвестиции и аудит Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)Дата проекта: 2014/03 — 2014/09
|
Технология: ИБ - Антивирусы
Технология: ИБ - Антиспам
Технология: ИБ - Аутентификация
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Резервное копирование и хранение данных
Технология: ИБ - Средства шифрования
|
АО «МС Банк Рус» (до 2014 года банк «Капитал-Москва») был учрежден в 1994 году. Изначально деятельность банка в основном была сосредоточена в области финансирования развития предприятий автомобильного бизнеса. С апреля 2014 года АО «МС Банк Рус» диверсифицировал свою деятельность и открыл совместную с Mitsubishi Corporation программу для физических лиц по льготному кредитованию при покупке автомобилей Mitsubishi. Сегодня банк имеет 12 собственных операционных офисов в Москве и Санкт-Петербурге, а также сеть операционных узлов, расположенных во всех дилерских центрах Mitsubishi на всей территории России. Головной офис АО «МС Банк Рус» находится в Москве.
Для осуществления основной деятельности банк использует ряд информационных систем (ИС), осуществляющих, в том числе, автоматизацию операций, связанных с переводом денежных средств в рамках национальной платежной системы. Этот процесс регулируется Положением Банка России № 382-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств.
С целью приведения ИС в соответствие требованиям данного положения АО «МС Банк Рус» инициировал работы по оценке соответствия всего комплекса информационных систем и бизнес-процессов банка, в том числе:
- Обследование информационной инфраструктуры, включающее разработку рекомендаций по приведению в соответствие требованиям Положения № 382-П по защите информации при осуществлении переводов денежных средств.
- Итоговая оценка соответствия требованиям Положения №382-П.
Подрядчик на выполнение проекта был выбран на основании проведенного конкурса, по результатам которого им стала «АСТ», предложив лучшие условия и полностью выполнив квалификационные требования конкурса. Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
Выполнение всего комплекса работ заняло 2 месяца, а сам проект охватил все точки присутствия банка на момент его выполнения, включая головной офис. В процессе были решены следующие задачи:
Обследование объектов и бизнес-процессов, сбор исходной информации, анализ текущей ситуации:
- Определение перечня ИС, участвующих в переводе денежных средств, их последующее обследование.
- Анализ мер по обеспечению безопасности, включая физическую и информационную безопасность.
- Определение подразделений и должностных лиц, участвующих в переводе денежных средств, их ролей, функций и ответственности.
- Сбор информации о бизнес-процессах, связанных с переводом денежных средств, их функциональных параметрах.
- Изучение состояния организационно-распорядительной документации.
- Определение текущего уровня соответствия требованиям Положения №382-П.
Разработка рекомендаций по повышению уровня соответствия требованиям Положения №382-П, включая:
- Аналитический отчет о предварительной оценке соответствия требованиям.
- Предложения по всему комплексу мер, этапам развития системы обеспечения информационной безопасности.
- Рекомендации по первоочередным мероприятиям по достижению соответствия уровня информационной безопасности.
Формирование отчета об оценке соответствия системы обеспечения информационной безопасности банка требованиям Положения Банка России №382-П.
Сергиенко Инна, Руководитель направления комплексного обеспечения информационной безопасности ЗАО "АСТ": «Для АО «МС Банк Рус» на момент их обращения было важно незамедлительно выполнить появившиеся тогда нормативы Банка России. Клиент «в первых рядах» оценил всю значимость и важность данных мер. Мы провели работы, по результатам которых не только смогли полностью закрыть этот вопрос, но и обозначили важные шаги по совершенствованию средств ИБ банка, что для него является одним из заявленных ориентиров».В итоге реализации первоочередных мероприятий по достижению соответствия уровня информационной безопасности значение итогового показателя повысилось с 0,21 (неудовлетворительно) до 0,72 (удовлетворительно).